1
Hans Pfeiffenberger, Alfred Wegener Institut
Identity Management Workshop Universität Bremen 2005-06-13
Identity Management
Einführung in die Diskussion
Hans Pfeiffenberger
Alfred Wegener Institut, Bremerhaven
Agenda
Begriffe (Damit wir alle über dasselbe sprechen)
Motivation, strategische Ziele
• Integrierte Informationssysteme (Effizienz des Betriebs)
• eScience / Grids: Zukünftige Forschungs-Infrastruktur
– (für eLearning haben Sie hier andere Experten)
• (Security nur am Rande => besonderes Thema)
(Institutions-interne) “Geschäftsprozesse”
• Wie wirken sich “Policies” / Regeln aus?
Vorgehensweise(n)
• Best Practise
• F&E-Felder
Zusammenfassung & Ratschlag
3
Hans Pfeiffenberger, Alfred Wegener Institut
Identity Management Workshop Universität Bremen 2005-06-13
Begriffe
Wer darf was (wann und warum)?
Wer hat was wann getan ?
AAA (IAAA, Identifikation+AAA)
• Authentisierung, Autorisierung, Accounting / Auditing
• § technischer Teil von Identity + Access Management
Verzeichnisdienste und mehr
• LDAP, ADS (Identifier, IT-orientierte Inhalte und Struktur)
• + Attribute aus vielfältigen Quellen (HIS, SAP)
(De-) Provisioning (Bereitstellung): Dienste, pro Person
(„Geschäfts-“) Prozesse und Regeln,
• BPR : Business Process Reengineering
Caveat !
Bei Identity Management geht es auch um Technik
• LDAP, ADS, Systemintegration,……
• … in leicht zu unterschätzendem Umfang
Aber weit mehr geht es um Organisation !
• Alle-Mann-Manöver (bei internen Systemen, s. folgende Folie)
• Internationale Gremien, Vertrauensverhältnisse (bei externen Systemen)
Sie werden um Änderung von Regeln und Verfahren nicht herum kommen !!!!
• Weil Sie Ihre Regeln de facto (in aller Konsequenz) gar nicht kennen (oder zumindest nicht aufgeschrieben haben)
• Weil de facto stets Ausnahmen „ad personam“ gemacht werden
– Siehe McRae, gegen Ende!!
5
Hans Pfeiffenberger, Alfred Wegener Institut
Identity Management Workshop Universität Bremen 2005-06-13
Integrierte Informationssysteme (Effizienz)
Geschäftprozesse und Regeln (triviales Bsp.)
Ein Mitglied der Universität darf (muss) einen E-Mail Zugang der Universität nutzen (ZfN-Server,…???)
• .u.U. notwendiger Teil von Workflows (Prozessablauf) !!
Mitgliedschaft wird entweder von Personalstelle oder Immatrikulationsamt bestätigt
=> ab wann kann die Person mit E-Mail arbeiten?
Soll ein(e) frisch berufener Wissenschaftler(in) den Mail-Account schon vor Arbeitsaufnahme nutzen ??
Ausnahmen: Kooperationspartner ??
7
Hans Pfeiffenberger, Alfred Wegener Institut
Identity Management Workshop Universität Bremen 2005-06-13
Deutsche Beispiele (ZKI AK Verzeichnis)
Stenzel Mai 05
eScience / Grid
Grosse globale Kollaborationen – an denen auch
Mitglieder der Universität Bremen mitwirken (könnten)
• CERN (10.000 Personen global),
• ITER (verschränkt mit bestehenden, EFDA)
• IPY 2007-08 (hunderte Institute, Dutzende Schiffe….)
Tausende von EU-Projekten
• Uni HB ist sicher an Hunderten beteiligt ;-))
Alle benötigen informationstechnisch realisierte,
gemeinsame Ressourcen (LHC-Grid, C3-Grid, Wikis)
Virtuelle Organisationen
=> föderiertes Identitätsmanagement
• eduRoam, Shibboleth (nicht oder kaum: PKI, Zertifikate)
9
Hans Pfeiffenberger, Alfred Wegener Institut
Identity Management Workshop Universität Bremen 2005-06-13
Forschungsgebiet IdM (Middleware)
Begriffsbildung
• Single Sign On (SSO) ( § Ein Name, ein Passwort)
• Verzeichnisdienst, Meta-Directory => Identity Management
• Rollen und Rechte (RBAC) (Internet2 „Grouper“)
• Entitlements (Internet2 „Signet“)
Protokolle und Formate
• Kerberos => Shibboleth (Internet2, NMI)
• Radius: SSO simpel, eduRoam WLAN-Zugang (Terena)
• SAML Security Assertion Markup Language (Shib,Industrie)
Organisatorisches
• Föderationen
• Begrenzte Zusammenarbeit, Vertrauen, Verträge
Wieso Forschung ? - RBAC: Musketeers
11
Hans Pfeiffenberger, Alfred Wegener Institut
Identity Management Workshop Universität Bremen 2005-06-13
Signet, Entitlements, L. McRae, Stanford
Middleware Architecture Committee for Education
By Tom Barton, RL „Bob“ Morgan, Internet2 MACE
http://middleware.internet2.edu/MACE/
13
Hans Pfeiffenberger, Alfred Wegener Institut
Identity Management Workshop Universität Bremen 2005-06-13